CanCanCan可以加载_和_授权_资源答案

【问题标题】：CanCanCan load_and_authorize_resourceCanCanCan可以加载_和_授权_资源
【发布时间】：2019-12-23 05:24:53
【问题描述】：

我在 1 中有两个问题：

load_and_authorize_resource 在我的 Pokemon 控制器中不起作用。如果我理解文档load_and_authorize_resource 应该阻止用户访问他们无权访问的路线/操作。这是控制器的代码：

class PokemonsController < ApplicationController
  load_and_authorize_resource
  
  def update
    if @pokemon.update_attributes(pokemon_params)
      flash[:success] = 'Pokemon was updated!'
      redirect_to root_path
    else
      render 'edit'
    end
  end

  
  def create
    @pokemon = Pokemon.new(pokemon_params)
    @pokemon.user_id = current_user.id
    @pokemon.trainer_id = Trainer.first.id

    if @pokemon.save
      flash[:success] = "Nice job! #{@pokemon.name} was created!"
      redirect_to pokemons_path
    else
      flash[:danger] = "Hmmm try that again."
      render :new
    end
  end

  def show
    @pokemon = Pokemon.find_by_slug(params[:slug])
  end

  def destroy
    if @pokemon.destroy
      flash[:success] = 'Congrats, you destroyed a pokemon????'
    else
      flash[:warning] = 'I couldnt destroy this pokemon...'
    end
    redirect_to root_path
  end
 
  private

  def pokemon_params
    params.require(:pokemon).permit(
      :name,
      :pkmn_type,
      :level,
      :attack,
      :defense, 
      :speed, 
      :pokedex, 
      :sp_attack, 
      :sp_defense
    )
  end

end

这是ability.rb 模型：

class Ability
  include CanCan::Ability

  def initialize(user)
      user ||= User.new # guest user (not logged in)
      if user.admin?
        can :manage, :all
      else
        can :manage, Pokemon, user_id: user.id
        can :read, :all
      end
  end
end

我已退出应用程序，因此没有可用的 current_user / session，但我仍然可以访问 pokemon 的编辑视图。知道发生了什么吗？

问题 2：我将如何调试它以供将来参考？

如果有帮助的话，这里是link to the repo。先谢谢了？？？

【问题讨论】：

标签： ruby-on-rails authorization ruby-on-rails-6 cancancan

【解决方案1】：

我已经下载了你的 repo。首先，您的注册页面无法正常工作。没有必填的名字/姓氏字段。我认为您将来可以处理它们。您的问题呢，当我将您的 slug 路由更改为默认 id 路由时，cancancan 可以正常工作。当我尝试编辑属于不同用户的口袋妖怪时出现以下错误：

CanCan::AccessDenied - You are not authorized to access this page.:
Started GET "/pokemons/2/..." for ::1 at 2019-12-23 11:27:37 +0200

当我返回 slug 时，它会破坏这种行为，我可以编辑所有口袋妖怪。所以问题不在 CanCanCan 中，而是在 slug 的配置中。如果您不想更改默认路由或使用FriendlyId，我建议您使用控制器操作，如下所示：

  def edit
    @pokemon = Pokemon.find_by_slug(params[:slug])
    authorize! :edit, @pokemon
  end

注意：您必须删除行 load_and_authorize_resource

此配置在尝试编辑不属于用户的 pokemon 时也会返回正确的错误：

希望我能帮上一点忙。

【讨论】：

您的调试非常棒。您是如何将范围缩小到路线 / FriendlyID 的？
经验，我猜。我还在 CanCanCan github 页面上找到了这篇文章，但我无法让它工作。也许它已经过时了github.com/CanCanCommunity/cancancan/wiki/FriendlyId-support。这个问题也可以帮助你github.com/norman/friendly_id/issues/544#issuecomment-49943668